⑴ wireshark軟體抓包數據怎麼查看
wireshark是捕獲機器上的某一塊網卡的網路包,當你的機器上有多塊網卡的時候,你需要選擇一個網卡。
點擊Caputre->Interfaces..
出現下面對話框,選擇正確的網卡。然後點擊"Start"按鈕,
開始抓包
WireShark
主要分為這幾個界面
1.
Display
Filter(顯示過濾器),
用於過濾
2.
Packet
List
Pane(封包列表),
顯示捕獲到的封包,
有源地址和目標地址,埠號。
顏色不同,代表
3.
Packet
Details
Pane(封包詳細信息),
顯示封包中的欄位
4.
Dissector
Pane(16進制數據)
5.
Miscellanous(地址欄,雜項)
⑵ 查看iis ftp是主動還是被動模式
查看iisftp是主動還是被動模式方法如下:
1、在主動模式下,FTP客戶端隨機開啟一個大於1024的埠N向伺服器的21號埠發起連接,發送FTP用戶名和密碼,然後開放N+1號埠進行監聽,並向伺服器發出PORTN+1命令,告訴服務端客戶端採用主動模式並開放了埠。FTP伺服器接收到PORT命令後,會用其本地的FTP數據埠(通常是20)來連接客戶端指定的埠N+1,進行數據傳輸。
2、在被動模式下,FTP客戶端隨機開啟一個大於1024的埠N向伺服器的21號埠發起連接,發送用戶名和密碼進行登陸,同時會開啟N+1埠。然後向伺服器發送PASV命令,通知伺服器自己處於被動模式。伺服器收到命令後,會開放一個大於1024的埠P(埠P的范圍是可以設置的,後面會說到這個是很重要的)進行監聽,然後用PORTP命令通知客戶端,自己的數據埠是P。客戶端收到命令後,會通過N+1號埠連接伺服器的埠P,然後在兩個埠之間進行數據傳輸。
⑶ 用wireshark抓包怎樣抓到ftp(已經建立了服務站點,但就是抓不到ftp)
話說你說的真心不夠清楚,不太清楚你想幹嘛?如果是你想抓自己電腦到ftp伺服器的通信數據,那你就在自己電腦上裝個wireshark,選擇自己當前正在使用的網卡,在自己跟ftp伺服器通信的時候,開始抓包就行了。如果要抓ftp伺服器跟所有客戶端的通信數據,那就在ftp伺服器上裝wireshark,選網卡,抓包就行了。
如果是都抓不到數據包,那可能是如下原因:
1、選取的網卡不是當前活動網卡,或者說不是ftp數據流走的那個網卡。
2、當前與ftp伺服器沒有通信。
⑷ linux抓包為.cap格式怎麼看
tcpmp -r xxx.cap
⑸ 怎麼用wireshark抓包分析ftp協議
你是網路管理員嗎?你是不是有過這樣的經歷:在某一天的早上你突然發現網路性能急劇下降,網路服務不能正常提供,伺服器訪問速度極慢甚至不能訪問,網路交換機埠指示燈瘋狂地閃爍、網路出口處的路由器已經處於滿負荷的工作狀態、路由器CPU已經到了百分之百的負荷……重啟動後沒有幾分鍾現象又重新出現了。
這是什麼問題?設備壞了嗎?不可能幾台設備同時出問題。一定是有什麼大流量的數據文件,耗盡了網路設備的資源,它們是什麼?怎麼看到它們?這時有經驗的網管人員會想到用區域網抓包工具來分析一下。
你一定聽說過紅色代碼、Nimda、沖擊波以及震盪波這些臭名昭著的網路殺手。就是它們製造了上述種種惡行。它們來勢洶洶,阻塞網路、感染主機,讓網路管理員苦不堪言。當網路病毒出現時,如何才能及時發現染毒主機?下面我根據網路病毒都有掃描網路地址的特點,給大家介紹一個很實用的方法:用抓包工具尋找病毒源。
1.安裝抓包工具。目的就是用它分析網路數據包的內容。找一個免費的或者試用版的抓包工具並不難。我使用了一種叫做SpyNet3.12 的抓包工具,非常小巧, 運行的速度也很快。安裝完畢後我們就有了一台抓包主機。你可以通過SpyNet設置抓包的類型,比如是要捕獲IP包還是ARP包,還可以根據目的地址的不同,設置更詳細的過濾參數。
2.配置網路路由。你的路由器有預設網關嗎?如果有,指向了哪裡?在病毒爆發的時候把預設網關指向另外一台路由器是很危險的(除非你想搞癱這台路由器)。在一些企業網里往往僅指出網內地址段的路由,而不加預設路由,那麼就把預設路由指到抓包主機上吧(它不下地獄誰下地獄?當然這台主機的性能最好是高一點的,否則很容易被病毒沖擊而亡)。這樣可以讓那些病毒主機發出的絕大部分掃描都自動送上門來。或者把網路的出口映像到抓包主機上,所有對外訪問的網路包都會被分析到。
3.開始抓包。抓包主機已經設置好了,網路里的數據包也已經送過來了,那麼我們看看網路里傳輸的到底是些什麼。打開SpyNet 點擊Capture 你會看到好多的數據顯示出來,這些就是被捕獲的數據包(如圖)。
圖中的主體窗口裡顯示了抓包的情況。列出了抓到數據包的序號、時間、源目的MAC地址、源目的IP地址、協議類型、源目的埠號等內容。很容易看出IP地址為10.32.20.71的主機在極短的時間內向大量的不同主機發出了訪問請求,並且目的埠都是445。
4.找出染毒主機。從抓包的情況看,主機10.32.20.71值得懷疑。首先我們看一下目的IP地址,這些地址我們網路里存在嗎?很可能網路里根本就沒有這些網段。其次,正常情況下訪問主機有可能在這么短的時間里發起這么多的訪問請求嗎?在毫秒級的時間內發出幾十甚至幾百個連接請求,正常嗎?顯然這台10.32.20.71的主機肯定有問題。再了解一下Microsoft-DS協議,該協議存在拒絕服務攻擊的漏洞,連接埠是445,從而進一步證實了我們的判斷。這樣我們就很容易地找到了染毒主機的IP地址。剩下的工作就是給該主機操作系統打補丁殺病毒了。
既然抓到了病毒包,我們看一下這個數據包二進制的解碼內容:
這些數據包的長度都是62個位元組。數據包前12個位元組包括了目的MAC和源MAC的地址信息,緊跟著的2位元組指出了數據包的類型,0800代表的是IP包格式,0806代表ARP包格式。接著的20個位元組是封裝的IP包頭,包括了源、目的IP地址、IP版本號等信息。剩下的28個位元組封裝的是TCP包頭,包括了源、目的埠,TCP鏈接的狀態信息等。這就構成了一個62位元組的包。可以看出除了這些包頭數據之外,這個包沒有攜帶其他任何的有效數據負荷,所以這是一個TCP要求445埠同步的空包,也就是病毒主機在掃描445埠。一旦染毒主機同步上沒有採取防護措施的主機445埠,便會利用系統漏洞傳播感染。
⑹ 怎麼查看ftp當前是主動還是被動,是否輸入pass顯示passive mode on證明輸入pa
如果客戶程序不支持被動模式,它就會返回?Invaild command;如果客戶程序支持被動模式,而伺服器不支持,就會返回"PASV:command not understood",PASV是一個FTP協議命令,使伺服器進入到被動模式。
使用默認數據傳輸埠
在FTP協議中,除了被動模式和主動模式之外,還有另外一種數據傳輸模式。如果客戶程序既不向伺服器發出PASV命令也不發送PORT命令,FTP伺服器就會使用FTP協議的數據傳輸埠(20)和客戶端的控制連接源埠建立一個數據傳輸連接。這就需要客戶程序在這個埠上監聽。在客戶程序上使用sendport命令可以關閉FTP協議的PORT控制指令,然後需要使用passive命令關閉被動模式。整個過程如下:
客戶程序從本地埠N初始化一個FTP控制連接。
用戶使用sendport命令和passive命令(某些客戶程序在默認情況下,被動模式是打開的)關閉主動模式和被動模式,然後使用數據傳輸指令,例如:ls、get等。這樣客戶程序就會在本地埠N上監聽FTP服務緝發起的數據傳輸連接。
伺服器通過TCP常式(例如:getpeername())確定客戶端的埠N。然後從FTP數據傳輸埠(20)發起一個連接。
不過,這種方式有一個最大的缺點就是無法在很短的時間之內連續輸入數據傳輸命令,用戶經常會遇到"bind:Address Already in use等錯誤。這是TCP協議造成的。因此,這種模式並不常用。
⑺ 如何在伺服器上查看ftp的主動被動模式
可以簡單概括為以下兩點:
1、主動FTP:
命令連接:客戶端
>1024埠
->
伺服器
21埠
數據連接:客戶端
>1024埠
1024埠
->
伺服器
21埠
數據連接:客戶端
>1024埠
->
伺服器
>1024埠
⑻ wireshark抓取FTP格式的包過濾規則怎麼編寫在線等,各位大哥,幫幫忙
看wireshark對ftp協議都定義了那些域,可以按照格式要求,根據域進行過濾,如:udp.port == 21
⑼ 如何判斷ftp當前是主動模式 被動模式設置
FTP只通過TCP連接,沒有用於FTP的UDP組件.FTP不同於其他服務的是它使用了兩個埠, 一個數據埠和一個命令埠(或稱為控制埠)。通常21埠是命令埠,20埠是數據埠。當混入主動/被動模式的概念時,數據埠就有可能不是20了。
主動模式FTP:
主動模式下,FTP客戶端從任意的非特殊的埠(N > 1023)連入到FTP伺服器的命令埠--21埠。然後客戶端在N+1(N+1 >= 1024)埠監聽,並且通過N+1(N+1 >= 1024)埠發送命令給FTP伺服器。伺服器會反過來連接用戶本地指定的數據埠,比如20埠。
以伺服器端防火牆為立足點,要支持主動模式FTP需要打開如下交互中使用到的埠:
l FTP伺服器命令(21)埠接受客戶端任意埠(客戶端初始連接)
l FTP伺服器命令(21)埠到客戶端埠(>1023)(伺服器響應客戶端命令)
l FTP伺服器數據(20)埠到客戶端埠(>1023)(伺服器初始化數據連接到客戶端數據埠)
l FTP伺服器數據(20)埠接受客戶端埠(>1023)(客戶端發送ACK包到伺服器的數據埠)
用圖表示如下:
在第1步中,客戶端的命令埠與FTP伺服器的命令埠建立連接,並發送命令「PORT 1027」。然後在第2步中,FTP伺服器給客戶端的命令埠返回一個"ACK"。在第3步中,FTP伺服器發起一個從它自己的數據埠(20)到客戶端先前指定的數據埠(1027)的連接,最後客戶端在第4步中給伺服器端返回一個"ACK"。
主動方式FTP的主要問題實際上在於客戶端。FTP的客戶端並沒有實際建立一個到伺服器數據埠的連接,它只是簡單的告訴伺服器自己監聽的埠號,伺服器再回來連接客戶端這個指定的埠。對於客戶端的防火牆來說,這是從外部系統建立到內部客戶端的連接,這是通常會被阻塞的。
主動FTP的例子:
下面是一個主動FTP會話的實際例子。當然伺服器名、IP地址和用戶名都做了改動。在這個例子中,FTP會話從 testbox1.slacksite.com (192.168.150.80),一個運行標準的FTP命令行客戶端的Linux工作站,發起到testbox2.slacksite.com (192.168.150.90),一個運行ProFTPd 1.2.2RC2的Linux工作站。debugging(-d)選項用來在FTP客戶端顯示連接的詳細過程。紅色的文字是 debugging信息,顯示的是發送到伺服器的實際FTP命令和所產生的回應信息。伺服器的輸出信息用黑色字表示,用戶的輸入信息用粗體字表示。
仔細考慮這個對話過程我們會發現一些有趣的事情。我們可以看到當 PORT 命令被提交時,它指定了客戶端(192.168.150.80)上的一個埠而不是伺服器的。當我們用被動FTP時我們會看到相反的現象。我們再來關注PORT命令的格式。就象你在下面的例子看到的一樣,它是一個由六個被逗號隔開的數字組成的序列。前四個表示IP地址,後兩個組成了用於數據連接的埠號。用第五個數乘以256再加上第六個數就得到了實際的埠號。下面例子中埠號就是((14*256) + 178) = 3762。我們可以用netstat來驗證這個埠信息。
testbox1: {/home/p-t/slacker/public_html} % ftp -d testbox2
Connected to testbox2.slacksite.com.
220 testbox2.slacksite.com FTP server ready.
Name (testbox2:slacker): slacker
---> USER slacker
331 Password required for slacker.
Password: TmpPass
---> PASS XXXX
230 User slacker logged in.
---> SYST
215 UNIX Type: L8
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
ftp: setsockopt (ignored): Permission denied
---> PORT 192,168,150,80,14,178
200 PORT command successful.
---> LIST
150 Opening ASCII mode data connection for file list.
drwx------ 3 slacker users 104 Jul 27 01:45 public_html
226 Transfer complete.
ftp> quit
---> QUIT
221 Goodbye.
⑽ 如何使用Wireshark 進行監聽TCP FTP HTTP三個協議
Wireshark 進行監聽TCP FTP HTTP三個協議
一、下載安裝wireshark 從http://www.wireshark.org/ 下載安裝Windows平台的wireshark,雙擊安裝文件安裝即可,在安裝過程中注意選擇安裝winpcap。
二、啟動wireshark後,選擇工具欄中的快捷鍵(紅色標記的按鈕)即可Start anewlivecapture。
建立命令通道的包交互過程中,有很多FTP命令,包括了SYST、PWD、CWD等,是FTP的標准命令,網路上都可以查到。
Wireshark 進行監聽TCP FTP HTTP完成。